[MUSIC JOC] DAVID MALAN: Aceasta este CS50, și aceasta este începutul săptămânii 10. Și s-ar putea aminti acest imagine de la câteva săptămâni înapoi când am vorbit despre Internet și cum este de fapt pus în aplicare fizic. Și s-ar putea aminti că există de fapt, o grămadă de cabluri precum și fără fir tehnologii care interconectare toate nodurile sau routere și alte astfel de tehnologii pe internet. Și o mulțime de care este underseas. Ei bine, se pare că cei cabluri underseas sunt un pic de o țintă. Și prelegere de astăzi este în întregime despre securitate, nu numai amenințările care ne confruntăm cu toții fizic, dar, de asemenea, practic, și, de asemenea,, scop spre coada astăzi, unele dintre argumentele ca noi, ca utilizatorii pot de fapt, pus în loc. Dar prima, unul dintre primii și threat-- poate cel mai fizic [VIDEO PLAYBACK] -Could Rusia să fie de planificare un atac asupra cabluri submarine care se conectează la internet la nivel global? Nave și submarine putere un ascuns cabluri submarine in apropiere care transporta aproape toate de internet din lume. -cele Întregul Internet este efectuate de-a lungul acestor cabluri. -Primul De toate, ceea ce este Internet faci subacvatice? Ultima dată când am verificat, nu sunt ar trebui să se computerul meu umed. În al doilea rând, dacă mă întrebi cum internetul călătorește de la continent la continent, Mi-ar fi spus sateliți sau lasere, sau, sincer, Eu, probabil, ar trebui tocmai a spus pe internet. Și ce sa întâmplat cu norul? Mi sa spus că a fost un nor. Adu-ti aminte? Hei, hai să pun că în nor. A fost ca internetul a fost un abur de informații care înconjoară Pământul, și computerul a fost ca un polonic că scobit ce ai nevoie. Dar se pare că internetul este, de fapt sub apă pentru că aceste cabluri transporta mai mult de 95% din comunicațiile zilnice pe internet. Și grijile de informații din SUA care în momente de tensiune sau de conflict, Rusia ar putea recurge la ruperea ei. Ar fi cea mai mare perturbare la serviciul de internet deoarece pe aproapele tău la etaj a pus o parola pe lui Wi-Fi. OK? Încercați numele câinele lui. [END PLAYBACK] DAVID MALAN: Înainte de a ne întoarcem acum la unele dintre amenințările mai virtuale, un cuplu de anunțuri. Deci, prietenii noștri o CrimsonEMS sunt în prezent recrutarea de noi EMTs, Urgență Tehnicieni medicale. Și acest lucru este de fapt ceva în special aproape de inima mea. Cu mult timp în urmă, am amintiți-vă fiind în Ikea la scurt timp după absolvire, de fapt. Și, după cum am fost ieșirea din magazin, acest băiețel care a fost într-un cărucior a început de cotitură literalmente albastru. Și el a fost sufocare pe unele bucată de alimente care au avut probabil ajuns blocat în gât. Și mama lui a fost panica. Părinții din jurul lor au fost panica. Și chiar I, care a avut un pic de familiaritate cu EMS doar cu titlu de prieteni, complet înghețat. Și a fost doar datorită ceva ca un salvamar în vârstă de 15 ani, care a fugit peste si de fapt ceea ce a știut să face instinctiv și a cerut ajutor și de fapt tras băiat din cărucior lui și de fapt a abordat situația. Și pentru mine, care a fost un punct de cotitură. Și a fost acel moment în timp în care am decis, la naiba, Am nevoie de a avea act meu cunosc împreună și de fapt cum să răspundă la aceste tipuri de situații. Și așa m-am fost licențiat ani în urmă ca o EMT. Și prin absolvent de școală am plimbare pe ambulanță MIT pentru o anumită perioadă de timp, precum și cum au ținut pasul licența de atunci. Și, de fapt, la această zi, toate personalului CS50 aici în Cambridge sunt de fapt certificate în CPR, precum și, din motive similare. Deci, dacă sunteți la toate interesat de acest lucru, nu e nu va fi suficient timp în a doua zi să-și asume ceva nou. Dar dacă vrei un nou an de Rezoluția, nu se alăture tipii ăștia aici sau luați în considerare ajungând la Crucea Roșie pentru certificare, fie aici, fie în New Haven, de asemenea. Deci, ultima masa de prânz CS50 este vineri. Deci, dacă nu ați alăturat încă ne, sau în cazul în care ai si vrei mai mult o dată, merg pe site-ul CS50 la completați formularul de acolo. Știu, de asemenea, că prietenii noștri din Yale, profesorul Scassellati, a fost producătoare de o AI, artificial inteligență, de serie pentru noi care va începe la debut în această săptămână pe video. Deci, mai ales daca sunteti interesati în urmărirea un proiect final oarecum legate de inteligenta artificiala, procesarea limbajului natural, robotica chiar, își dau seama că acestea vor fie o sursă de inspirație minunat pentru asta. Și doar pentru a vă oferi un teaser de acest lucru, aici este Scaz însuși. [VIDEO PLAYBACK] -O De foarte mare lucruri despre informatica este că, cu doar, chiar câteva săptămâni de studiu, ai de gând să fie în măsură să înțeleagă multe dintre artefactele inteligente și dispozitive care populeaza lumea noastră modernă. În acest scurt videoclip serii, ne vom uita la lucruri cum ar fi modul în care Netflix este capabil pentru a sugera și să recomande filme ca să place, cum se face că Siri poate răspunde la întrebări pe care le am, cum se face că Facebook poate recunoaște fața mea și eticheta în mod automat mă într-o fotografie, sau modul în care Google este capabil de a construi o masina care conduce pe cont propriu. Așa că sper că mă alătura pentru acest scurt serie de clipuri video, seria CS50 AI. Cred că veți descoperi că știți mult mai mult decât ai crezut că ai făcut-o. [END PLAYBACK] DAVID MALAN: Deci acestea vor apărea pe site-ul cursului în cursul acestei săptămâni. Rămâneţi aproape. Și în același timp, câteva anunțuri cu privire la ceea ce se află înainte. Deci, suntem aici. Acest lucru este în curs noastră în materie de securitate. Aceasta vine miercuri, Scaz și Andy, colegul nostru de predare cu capul în New Haven, va fi aici să se uite la inteligenţă artificială se pentru o privire la calcul pentru communication-- Cum de a construi sisteme care utilizează limbă pentru a comunica de la ELIZA, Dacă sunteți familiarizat cu acest software-ul de la odinioară, la Siri mai recent, și la Watson, care ar putea să știu de la Jeopardy sau altele asemenea. Apoi lunea viitoare, suntem nu aici, în Cambridge. Suntem în New Haven pentru un al doilea uita-te la inteligență artificială cu Scaz și company-- Adversarii AI în jocuri. Deci, dacă ați jucat vreodată împotriva computerul în unele jocuri video sau jocuri pentru telefoane mobile sau altele asemenea, vom vorbesc despre exact cum that-- pentru a construi adversarii pentru jocuri, cum să reprezinte lucrurile sub copaci Hood cu ajutorul de la jocuri ca tic-tac-toe pentru șah la real moderne jocuri video, precum și. Din păcate, unul este testul scurt timp după aceea. Mai multe detalii cu privire la acest pe de CS50 site-ul mai târziu în această săptămână. Și prelegere nostru final la Yale va fie că vineri, după testul. Și prelegere nostru final la Harvard va fi de luni după aceea, prin natura de programare. Și astfel, în ceea ce privește etapele, în afară de PSET opt în această săptămână; raport de stare, care va fi o verificare bun-simț rapid între tine și colegii dumneavoastră de predare; hackathon, care va fi aici în Cambridge pentru elevii de la New Haven și Cambridge deopotrivă. Vom avea grijă de toate transport de la New Haven. Punerea în aplicare a Proiectul final va fi din cauza. Și apoi pentru ambele campusuri va exista un târg CS50 care ne permite să ia o privire la și încântare în ceea ce toată lumea a realizat. De fapt, m-am gândit acest lucru ar fi un bun moment pentru a atrage atenția asupra acestui aparat aici, care le-am folosit pentru o anumită cantitate de timp aici, care este un ecran tactil frumos. Și, de fapt, ultima Anul acesta am avut o aplicație $ 0,99 pe care le descărcat de pe App pentru Windows stoca în scopul de a desena pe ecran. Dar sincer, a fost foarte aglomerat. Aceasta ne-a permis să se bazeze pe ecran, dar au existat, cum ar fi, o mulțime de icoane aici. Interfața cu utilizatorul a fost destul de rău. Dacă ați vrut să schimbe anumite setări, au fost doar atât de multe clicuri naibii. Și utilizatorul interface-- sau, mai corect, experience-- utilizator a fost destul de suboptimal, mai ales, folosind în un mediu prelegere. Și așa am ajuns în la un prieten de-al nostru la Microsoft, Bjorn, care de fapt urmărit împreună cu CS50 on-line. Și ca proiectul sa finală, în esență, nu-i foarte gratie ia unele de intrare de la noi ca la exact Caracteristici și experiența de utilizator noi vrem. Și a mers apoi despre construirea pentru Windows această aplicație aici care ne permite să draw-- oops-- și vraja pe the-- wow. Multumesc. Pentru a desena și scrie pe acest ecran de aici cu interfata foarte minim de utilizator. Așa că mi-ai văzut, probabil, apăsați în sus aici vreodată atât de ușor în cazul în care acum am poate sublinia lucrurile în roșu. Putem comuta și acum du-te la text alb aici. Dacă vrem să ștergeți de fapt ecran, putem face acest lucru. Și dacă am prefera de fapt o panza alb, putem face asta. Deci, o face foarte puțin prin design si o face bine. Așa că am futz, sperăm, mult mai puțin în acest an în clasa. Și mulțumesc, de asemenea, la un protejat al lui eu poartă astăzi un inel mic. Acest lucru este Benjamin, care a fost internau cu Bjorn în această vară. Deci, este un inel mic. E un pic mai mare decât inelul meu de obicei. Dar printr-un pic formați pe partea aici pot eu de fapt muta slide stânga și la dreapta, înainte și înapoi, și de fapt în avans lucrurile fără fir, astfel încât, o, nu am să mergem înapoi pe la bara de spațiu Aici. Și doi, eu nu trebuie să aibă una din acele Clickers stupide și preocupă mâna mea de exploatație naibii lucru tot timpul în scopul de pur și simplu să faceți clic. Și cu siguranță, în timp, va hardware-ul ca aceasta obține super, super mici. Deci cu siguranță, nu ezitati să gândească în afara caseta și de a face lucruri și de a crea lucruri pe care nici măcar nu există încă pentru proiectele finale. Fără alte formalități, o privire la ceea ce așteaptă în timp ce arunca cu capul în finală dvs. proiecte la hackathon CS50 [VIDEO PLAYBACK] [MUSIC JOC] [Sforait] [END PLAYBACK] DAVID MALAN: Bine. Deci clipul Stephen Colbert că am arătat în urmă cu doar o clipă a fost de fapt la televizor doar câteva zile în urmă. Și, de fapt, o pereche de celelalte clipuri vom afișa astăzi sunt incredibil de recent. Și, de fapt, care vorbeste la realitate care atât de mult de tehnologie și, sincer, o mulțime de idei am vorbit despre în CS50 într-adevăr sunt omniprezente. Și unul dintre obiectivele cursul este cu siguranță pentru a vă dota cu abilități tehnice, astfel pe care le poate rezolva de fapt probleme programatic, dar doua, astfel încât puteți face de fapt, decizii mai bune și lua decizii mai informate. Și, de fapt, pe tot parcursul tematic apăsați și clipuri video online și articole aceste zile este doar un înfricoșător neînțelegere sau lipsă de înțelegere a modului în care tehnologia lucrări, în special în rândul politicienilor. Și astfel, într-adevăr, în doar un pic ne-am să aruncăm o privire la una dintre aceste detalii, deasemenea. Dar literalmente doar dura noapte am fost așezat în a Bertucci, un localnic franciza loc italian. Și am sărit pe lor Wi-Fi. Și am fost foarte liniștit pentru a vedea că este securizat. Și am știut că, deoarece se spune aici "Secure Internet Portal" atunci când ecranul a venit. Deci acesta a fost mic promptul care vine în Mac OS sau în Windows atunci când vă conectați la o rețea Wi-Fi pentru prima dată. Și a trebuit să citesc prin termenii lor și condițiile și, în final faceți clic pe OK. Și apoi am fost lăsat să continue. Așa că haideți să începem să-și reconsidere ceea ce toate acest lucru înseamnă și să nu se mai ia de a acordat ceea ce oamenii ne spun când am întâlni cu diferite tehnologii. Deci unul, ce înseamnă că aceasta este un portal de internet sigură? Ce ar putea de Bertucci fie-mi liniștitor de? Audiența: Pachetele trimise înainte și înapoi sunt criptate. DAVID MALAN: Bine. Pachetele trimise înapoi și mai departe sunt criptate. Este că, de fapt, cazul? Dacă ar fi fost cazul, ce aș au de a face sau ceea ce mi-ar trebui să știu? Ei bine, ai vedea un pic icon lacăt în Mac OS sau în Windows spune că există într-adevăr unele de criptare sau de codare întâmplă. Dar, înainte de a putea utiliza o criptat conexiune portal sau Wi-Fi, ceea ce aveți, de obicei, să tastați în? O parolă. Știu o astfel de parolă, nici am o astfel de tip parolă. Pur și simplu am apasat OK. Deci, aceasta este complet lipsită de sens. Acesta nu este un portal de internet sigure. Acesta este un portal de internet nesigur 100%. Nu e absolut nici o criptare a merge pe, și tot ce este de a face fixa este că fraza trei cuvinte pe ecran acolo. Așa că nu înseamnă nimic, neapărat, tehnologic. Și un pic mai mult ingrijoratoare, dacă tu de fapt citit prin termenii și condițiile, care sunt surprinzător de ușor de citit, a fost asta: "te Înțeleg că ne rezervăm dreptul de a vă conecta sau pentru a monitoriza traficul garantarea acestor termeni sunt respectate. " Așa că e un pic ciudat, în cazul în care a Bertucci este uitam traficul meu de internet. Dar cel mai orice acord care ați făcut clic orbește prin a spus cu siguranță că, înainte. Deci, ceea ce face că, de fapt Adică tehnologic? Deci, dacă există ceva înfiorător tip sau o femeie în spate care e, cum ar fi, de monitorizare tot traficul de internet, cum este el sau ea accesarea aceste informații mai exact? Care sunt tehnologice înseamnă prin care care person-- sau adversar, mai mult generally-- poate fi uitat la traficul nostru? Ei bine, în cazul în care nu există nici o criptare, ce felul de lucruri au putut mirosi, ca să spunem așa, un fel de a detecta în aer. Ce s-ar te uiti la? Da? Audiența: Pachetele trimise de pe computer la router? DAVID MALAN: Da. Pachetele trimise de calculatorul la router. Deci s-ar putea aminti atunci când am fost în New Haven, am trecut aceste plicuri, fizic, de-a lungul publicul pentru a reprezenta date merge prin intermediul internetului. Și cu siguranță, dacă ne-am aruncat le prin publicul wireless pentru a ajunge la destinația lor, oricine poate un fel de ea apuca și de a face o copie a acesteia și de fapt a vedea ce este în interiorul acestui plic. Și, desigur, ceea ce este în interiorul acestor plicuri este orice număr de lucruri, inclusiv adresa IP care încerci să de acces sau numele de gazdă, cum ar fi www.harvard.edu sau yale.edu că încerci pentru a accesa sau altceva cu totul. Mai mult decât atât, calea, too-- știi de la PSET șase că în interiorul cereri HTTP sunt obține slash something.html. Deci, dacă sunteți vizita o anumită pagină, descărcarea unei imagini sau video specific, toate aceste informații este în interiorul acestei pachet. Și astfel încât oricine acolo, în can Bertucci lui fi uitat la faptul că aceleași date. Ei bine, ce alte amenințări de-a lungul acestor linii să fie conștient de înainte de a începe doar acceptarea ca fapt ce cineva ca Lui Bertucci pur și simplu vă spune? Ei bine, acest lucru a fost un article-- o serie de articole care a venit la doar câteva luni în urmă. Ultimul răcnet în aceste zile sunt aceste televizoare inteligente inedite. Ce este un televizor inteligent, dacă ați auzit de ei sau au una la domiciliu? Audiența: conectivitate la Internet? DAVID MALAN: Da, conectivitate la internet. Deci, în general,, un televizor inteligent este un TV cu conexiune la internet și un utilizator foarte nasol interfață care face l greu de a utiliza efectiv pe web pentru că va trebui să utilizați, cum ar fi, în sus, jos, stânga, dreapta sau ceva și de pe telecomandă doar pentru a accesa lucruri care sunt atât de mult mai usor de facut pe un laptop. Dar mai ingrijoratoare despre un televizor inteligent, și televizoare Samsung, în acest caz particular, a fost că televizoarele Samsung și altele aceste zile vin cu anumite hardware pentru a crea ceea ce ei pretind este un mai bine interfață de utilizator pentru tine. Deci unul, puteți vorbi cu unele dintre televizoare tale în aceste zile, nu spre deosebire de Siri sau la oricare dintre alte echivalente pe telefoanele mobile. Astfel încât să puteți spune comenzi, ca canal schimbare, ridica volumul, opriți, sau altele asemenea. Dar ceea ce este implicarea de care logic? Dacă v-ați luat televizorul din living dvs. cameră sau televizorul la poalele pat a adormi la, Care este implicarea? Da? Audiența: Ar putea fi ceva merge în prin mecanismul pentru a detecta discursul dumneavoastră. DAVID MALAN: Da. Audiența: Asta ar putea fi trimise prin internet. Dacă e necriptate, atunci e vulnerabil. DAVID MALAN: Într-adevăr. Dacă aveți un microfon încorporat într-un televizor și scopul său în viață este, prin design, pentru a asculta pentru a vă și să răspundă la tine, se cu siguranță va fi asculta tot ce spui și apoi traducerea care să instrucțiuni integrate. Dar captura este că cele mai multe dintre acestea Televizoare nu sunt ele însele inteligent perfect. Sunt foarte dependente de că conexiune la internet. Atât de mult ca Siri, atunci când sa vorbesti la telefon, trimite repede că datele din Internet la servere Apple, apoi se întoarce un răspuns, literalmente este televizorul Samsung și echivalentele trimite doar tot ceea ce spunând în camera de zi sau dormitor la serverele lor doar pentru a detecta a spus, porniți televizorul sau opri televizorul? Și Dumnezeu știe ce altfel ar putea fi rostit. Acum, există câteva modalități pentru a atenua asta, nu? Ca ceea ce face și ceea ce Siri face Google și pe alții să facă la cel puțin apăra împotriva că riscul ca acestea sunt ascult absolut totul? Trebuie să fie activat prin a spune ceva cum ar fi, hei, Siri, sau hi Google sau alții sau OK, Google sau altele asemenea. Dar știm cu toții că cei expresii fel de suge, nu? Ca am fost doar sitting-- de fapt, ultima dată Am fost la ore de birou la Yale, cred, Jason sau unul dintre TFS păstrate urle, cum ar fi, hei, Siri, hei, Siri și a fost a face telefonul meu fac lucruri pentru că a fost prea proximal la telefonul meu real. Dar reversul este adevărat, de asemenea. Uneori aceste lucruri doar lovi cu piciorul pentru că este imperfect pe. Și într-adevăr, naturale processing-- limbă înțelegerea frazare un om și apoi a face ceva pe baza it-- este cu siguranță imperfectă. Acum, mai rău încă, unele de s-ar putea fi văzut sau au un televizor unde puteți face lucruri stupide sau nou-vârstă ca aceasta pentru a schimba canalele la stânga sau acest pentru a schimba canalele la dreapta sau reduce volumul sau ridica volumul. Dar ce înseamnă asta la televizor are? O camera a subliniat la tine în orice moment posibile. Și, de fapt, în jurul valorii de brouhaha Samsung Televizoare pentru care au luat unele Flack este că, dacă ai citit termenii și condițiile de lucru TV-- ai citit niciodată cu siguranță, atunci când despachetare TV pentru prima time-- încorporat acolo a fost un pic disclaimer spune echivalentul a, un ar putea să nu doriți să aveți personal conversații în fața acestui televizor. Și asta e ceea ce se reduce la. Dar nu ar trebui nici trebuie să se spună că. Tu ar trebui să poată deduce din realitate că microfon și cameră literalmente arătând spre mine tot timpul Poate este mai rău decât bine. Și sincer, eu spun acest lucru oarecum ipocrizie. Am literalmente au, în afară de aceste camere, Am o camera video mica pic aici în laptop-ul meu. Eu am un altul aici. Am în meu telefonul pe ambele părți. Deci ca nu cumva să-l pună jos pe un drum greșit, ei poate viziona încă mă și ascultă-mă. Și toate acestea ar putea fi întâmplă tot timpul. Deci, ce este de oprire iPhone sau Android telefon de la a face acest lucru tot timpul? Cum știm că Apple și o persoană înfiorător la Google, nu sunt de ascultare pentru a acest lucru foarte conversație prin telefon sau conversațiile Am la domiciliu sau la locul de muncă? Audiența: Deoarece viața noastră nu sunt atât de interesante. DAVID MALAN: Deoarece nostru vieți nu sunt atât de interesante. Aceasta este de fapt un răspuns valid. Dacă nu suntem îngrijorați despre un anumit pericol, există un fel de care îi pasă aspect la ea. Mi vechi mic nu se va să fie într-adevăr o țintă. Dar cu siguranță au putut. Și astfel, chiar dacă vedea unele lucruri siropoase pe televizoare și filme, cum ar fi, oh, să ne întoarcem pe grila si-- ca Batman face acest lucru foarte mult, de fapt, și de fapt, se poate vedea Gotham, ce-i întâmplă prin intermediul telefoanelor mobile oamenilor sau altele asemenea. Unele dintre care este un pic futurist, dar suntem destul de mult acolo in aceste zile. Aproape toate dintre noi sunt plimbă cu GPS transpondere, care este spune Apple si Google și oricine altcineva care vrea sa știu unde suntem în lume. Avem un microfon. Avem un aparat de fotografiat. Ne spui lucruri ca și Snapchat alte aplicații de toată lumea știm, toate numerele lor de telefon, toate adresele de e-mail. Și astfel, din nou, unul dintre takeaways astăzi, sperăm, este cel puțin pauză un pic înainte de a doar orbește spune, OK atunci când doriți comoditatea de Snapchat știind care toți prietenii dvs. este. Dar invers, acum Snapchat știe toată lumea să știi și orice note mici s-ar putea au facut in contact. Deci, aceasta a fost una în timp util, de asemenea. Câteva luni în urmă, Snapchat în sine nu a fost compromisă. Dar au existat unele aplicații de la terți care a făcut mai ușor pentru a salva fixează Și captura a fost că acest serviciu terțe părți a fost ea însăși compromisă, în parte pentru că serviciul Snapchat lui sprijinit o caracteristică care probabil nu ar trebui să aibă, care a permis acest arhivare de o terță parte. Și problema a fost ca o arhivă de, cum ar fi, de 90.000 de snaps, cred, final, au fost compromise. Și așa s-ar putea să ia unele confort în lucruri cum ar fi Snapchat fiind efemere, dreapta? Trebuie șapte secunde pentru a se uite la acest mesaj inadecvat sau note, și apoi dispare. Dar unul, majoritatea dintre voi au dat, probabil, Cum să luați capturi de ecran de acum, care este modul cel mai ușor pentru a eluda asta. Dar doi, nu e nimic de oprire companie sau persoana pe Internet de la interceptarea că date, eventual, de asemenea. Deci, acest lucru a fost literalmente doar o zi sau două în urmă. Acest lucru a fost un articol frumos pe un titlu site-ul on-line. "Worm Epic Fail-- Putere Ransomware Distruge accidentală Datele victimei în timpul criptare. " Deci, un alt rupt de la titluri de genul ăsta aici. Deci s-ar putea avea auzit de malware, care este rău intenționat software software-- așa de rău ca persoanele cu prea mult timp liber a scrie. Și, uneori, doar nu lucruri stupide, cum ar fi fișiere șterge sau trimite spam sau altele asemenea. Dar, uneori, și din ce în ce, e mai sofisticat, nu? Știți cu toții cum să se ocupa in criptare. Și Cezar și Vigenere nu sunt super sigure, dar există altele, cu siguranță, că sunt mai sofisticate. Și așa mai departe ceea ce a făcut acest adversar a fost scris o bucată de malware care a infectat cumva o grămadă de calculatoare oamenilor. Dar el a fost un fel de un idiot și a scris o versiune buggy de acest tip de malware astfel încât, atunci când el sau ea implementat code-- oh, suntem obtinerea o mulțime de-- rău. Primim o multime de lovește pe microfon. BINE. Deci, ce problema a fost că el sau ea a scris un cod rău. Și așa au generat pseudorandomly o cheie de criptare cu care a cripta Date cuiva malițios, și apoi a aruncat accidental departe cheia de criptare. Deci efectul acestei malware nu a fost așa cum este prevăzut, datelor răscumpărare cuiva de criptarea lui sau hard-disk ei și apoi așteaptă $ 800 de SUA în schimbul pentru cheia de criptare, moment în care victima ar putea decripta datele sale. Mai degrabă, tipul rău, pur și simplu criptat toate datele pe hard disk lor, accidental eliminat cheia de criptare, și am nici bani din asta. Dar acest lucru înseamnă că victima este cu adevărat o victimă pentru că acum el sau ea nu poate recupera oricare dintre datele cu excepția cazului în ei au de fapt unele old-school de rezervă a acestuia. Deci, aici este un fel de o realitate pe care le veți citi despre aceste zile. Și cum poți apăra împotriva acestui? Ei bine, acest lucru este un întreg poate de viermi, nu joc de cuvinte destinate, despre viruși și viermi și altele asemenea. Și există cu siguranță software cu care puteți te aperi. Dar mai bine decât că este doar pentru a fi inteligent despre ea. De fapt, am haven't-- aceasta este una dintre acestea fac ce spun eu, nu cum fac eu lucrurile, perhaps-- nu am folosit într-adevăr software-ul antivirus în anii pentru că dacă, în general, știu ce să caute, puteți apăra împotriva cel mai totul pe cont propriu. Și, de fapt, în timp util aici, la Harvard-- a existat o eroare sau o problemă săptămâna trecută în care Harvard este în mod clar, cum ar fi, monitorizarea o mulțime de trafic de rețea. Și voi toți, chiar vizitarea site-ul CS50 lui ar fi ajuns o vorbă de alertă că nu se poate vizita acest site. Nu e sigur. Dar dacă ai încercat vizita Google sau alte site-uri, de asemenea, cei care, de asemenea, au fost nesigure. Asta pentru ca Harvard, de asemenea, are un fel de sistem de filtrare care este cu ochii pe site-uri potențial periculoase pentru a ajuta la a ne proteja împotriva noastră. Dar chiar și aceste lucruri sunt în mod clar imperfect, dacă nu buggy, ei înșiși. Deci here-- dacă ești curios, voi lăsați aceste slide-uri de până online-- Sunt informatii curente că adversarul a dat. Și el sau ea a fost solicitând în bitcoin-- care este un currency-- virtuală $ 800 de SUA pentru a decripta de fapt datele. Din păcate, această a fost complet dejucat. Deci, acum ne vom uita la ceva mai mult politică. Și din nou, aici este scopul pentru a începe să se gândească la modul în care puteți lua decizii mai informate. Și acest lucru este ceva întâmplă în prezent în Marea Britanie. Și acest lucru a fost un slogan minunat dintr-un articol despre acest lucru. Marea Britanie introduce, ca veți vedea, o nouă supraveghere proiect de lege prin care Marea Britanie este propune să monitorizeze tot britanicii face pentru o perioadă de un an. Și apoi datele sunt aruncat afară. Citat, unquote, "ar servi o tiranie bine. " Deci, haideți să aruncăm o privire cu un prieten de-al domnului Colbert lui. [VIDEO PLAYBACK] Bun venit, bun venit, bun venit la "Saptamana trecuta Tonight." Va multumesc foarte mult pentru aderarea noi. Sunt John Oliver. Timp doar pentru o recapitulare rapidă a săptămânii. Și vom începe cu Marea Britanie, Puțin împărăția magică pământului. În această săptămână, dezbatere a fost furios pe există peste o lege controversată nou. -cele Guvernul britanic este Legile dezvelirea de supraveghere noi care se extind în mod semnificativ puterea sa pentru a monitoriza activitățile oamenilor on-line. -Theresa Mai există apeluri un permis să funcționeze. Alții l-au numit un charter Snooper lui, nu au ei? Ei bine, țineți pe because-- Snooper lui charter nu este fraza corect. Că sună ca acord un vechi de opt ani este forțat să semneze promițătoare să bat înainte de a intra dormitorul părinților săi. Dexter, semn charter acest Snooper sau nu putem fi trași la răspundere pentru ceea ce s-ar putea vedea. Acest proiect de lege ar putea potential scrie în dreptul o invazie mare de intimitate. -Under Planurile, o listă de site-uri web vizitat de fiecare persoană din Marea Britanie vor fi înregistrate pentru un an și ar putea fi puse la dispoziția poliției și de securitate Servicii. -Asta Comunicații date nu ar dezvălui pagina web exact te-ai uitat la, dar ar arăta site-ul a fost pe. -BINE. Așa că nu ar magazin Pagina exact, doar pe site-ul. Dar care este încă o mulțime de informații. De exemplu, dacă cineva vizitat orbitz.com, ai ști că sunt gândesc lua o excursie. Dacă au vizitat yahoo.com, ai stiu ca a avut doar un accident vascular cerebral și a uitat cuvântul "Google". Și dacă au vizitat vigvoovs.com, ai ști că sunt excitat și cheia lor B nu funcționează. Și totuși pentru toate utiliatate publica de curatare puteri proiectul de lege conține, Secretarul britanic de Interne Theresa May insistă asupra faptului că criticii l-au suflat de proporții. Rezultatele conexiune la internet -O este un evidență a serviciului de comunicare că o persoană a folosit, nu o înregistrare de fiecare pagina web care le-au accesat. Este pur și simplu echivalentul modern de o factura de telefon detaliată. Da, dar asta nu e la fel de liniștitor ca ea crede că este. Și să-ți spun de ce. În primul rând, eu nu doresc ca guvernul uita la telefonul meu apeluri, fie. Și în al doilea rând, o istoricul de navigare pe internet este un pic diferit de la o factura de telefon detaliată. Nimeni nu șterge frenetic telefonul Bill de fiecare data cand termina un apel. [END PLAYBACK] DAVID MALAN: Un model de curs de dezvoltare cu privire la modul ma pregatesc pentru clasa. Este doar pentru a viziona TV pentru o săptămână și să vedem ce iese, în mod clar. Așa că, de asemenea, a fost doar de la ultima noapte "Saptamana trecuta Tonight." Așa că haideți să începem să vorbim acum despre unele dintre apărare. Într-adevăr, pentru ceva ca aceasta, în cazul în care britanicii propun să țină un jurnal de acest tip de date, în cazul în care s-ar putea să vină de la? Ei bine, amintesc de PSET șase, PSET șapte, și opt PSET acum că în interiorul celor virtuale envelopes-- cel puțin pentru HTTP-- sunt mesaje care arata ca acest lucru. Și astfel acest mesaj, Desigur, nu este numai adresată o anumită adresă IP, pe care guvernul aici sau acolo ar putea log siguranță. Dar chiar și în interiorul că plic este o mențiune explicită a numelui de domeniu care fiind vizitat. Și dacă nu e doar slash, de fapt s-ar putea fie un nume de fișier specific sau o imagine sau un film specific sau, din nou, ceva de interes pentru ai putea fi cu siguranță dacă interceptat toate traficul în rețea este într-un fel a fost aproximat prin servere guvernamentale, așa cum se întâmplă deja în unele țări, sau în cazul în care nu există sunt un fel de necunoscută sau acorduri confidențiale, așa cum sa întâmplat deja în acest țară între anumite players-- mare ISP și companiile de telefonie și like-- și guvernul. Atât de amuzant story-- ultima dată când am ales badplace.com pe partea de sus a capul meu ca un exemplu de vag site-ul, nu am de fapt vet prealabil sau nu că de fapt a condus la o badplace.com. Din fericire, acest domeniu Numele este doar parcat, și nu de fapt duce la o badplace.com. Deci vom continua să folosi acest unul pentru acum. Dar mi sa spus că ar fi putut backfire foarte slab acea zi. Așa că haideți să începem să vorbim acum despre anumite apărare și ceea ce găuri acolo ar putea fi chiar și în acele. Deci parole este un fel de du-te-a răspunde pentru o mulțime de mecanisme de apărare, nu? Doar parola proteja, atunci care va ține adversarii afară. Dar ce înseamnă de fapt asta? Deci, amintesc de hacker doi, înapoi, dacă abordat that-- când a trebuit să sparge parole într-o file-- sau chiar în probleme set de șapte, când te-am da o probă SQL fișier unor nume de utilizator și parole. Acestea au fost numele de utilizator vă a văzut, și acestea au fost hash că am distribuit pentru hacker ediție a problemei stabilit două. Și dacă ați fost întrebați toate astea timp ce au fost parolele reale, aceasta este ceea ce, de fapt, ei decripta la care ai fi putut crăpat în două PSET, sau ai fi putut să le gândit jucăuș în problema set de șapte. Toate acestea au unele sperăm drăguț înțeles aici sau în New Haven. Dar MENIUL este că toate, cel puțin aici, sunt destul de scurte, destul de guessable. Adică, pe baza listei de aici, care sunt, probabil, cel mai ușor pentru a sparge, pentru a descoperi de scris software-ul care tocmai ghiceste și controale, ați spune? Audiența: Parola. DAVID MALAN: Parola lui destul de bine, nu? Și e un doar--, e o parola foarte frecvente. De fapt, în fiecare an, există o listă de cele mai comune parole din lume. Și citez, unquote "parola" este, în general, în vârful lista. Doi, se află într-un dicționar. Și știi de la problema set cinci că nu este că ar putea fi un hard-- puțin timp consuming-- dar nu este așa de greu pentru a încărca un dicționar mare în memorie și apoi l utilizați pentru a un fel de ghici și verificare toate cuvintele posibile într-un dicționar. Ce altceva ar putea fi destul de ușor de ghicit și a verifica? Da? Audiența: Repetarea de scrisori. DAVID MALAN: Repetarea de simboluri și litere. Deci, un fel de fel de. Deci, în fact-- și nu vom merge în mare detaliu here-- toate acestea au fost sărate, care s-ar putea retrage de la problemă stabilit documentația lui Seven. Unele dintre ele au diferite săruri. Deci, ai putea evita de fapt având repetarea unor personaje pur și simplu prin sărare parolele diferit. Dar lucruri de genul 12345, asta e un lucru destul de ușor de ghicit. Și sincer, problema cu toate aceste parole este că acestea sunt toate folosind doar 26 Caracterele posibile, sau poate 52 cu unele majuscule, și apoi 10 de scrisori. Eu nu sunt folosind orice caractere funky. Eu nu sunt, folosind zero-uri pentru cele de O sau pentru a I sau L's sau-- dacă vreunul dintre voi că ești inteligent, deși, de având un zero pentru o O parola in sau-- OK, am văzut pe cineva zâmbet. Deci, cineva are un zero pentru o O parolă lui sau a ei. Nu ești de fapt fiind la fel de inteligent ca s-ar putea crede, nu? Pentru că, dacă mai mult de unul din ne face acest lucru în room-- și am fost vinovat de acest lucru ca well-- Ei bine, un fel în cazul în care toată lumea a face acest lucru, ce un adversar trebuie să fac? Trebuie doar să adăugați zerouri și cele și un cuplu de other-- poate fours pentru H's-- a lui sau a ei Arsenal și doar substituie celor scrisori pentru cuvintele dicționarul. Și e doar o suplimentare buclă sau ceva de genul asta. Cel mai bun într-adevăr atât de, The apărare pentru parole este ceva mult, mult mai mult random-aparent atunci acestea. Acum, desigur, amenințări împotriva parole uneori includ e-mailuri de genul asta. Așa că am literalmente tocmai am primit acest în cutia mea poștală patru zile în urmă. Acest lucru este de la Bretania, care aparent lucrează la harvard.edu. Și ea mi-a scris ca utilizator webmail. "Noi doar observat că e-mail Contul a fost conectat pe un alt computer într-o locație diferită, și sunteți pentru a verifica identitatea personală. " Deci, tematică, cum ar fi e-mailuri multe acest, care sunt exemple de phishing attacks-- P-H-I-S-H-I-N-G-- unde cineva încearcă să pescuiască și a lua niște Informatiile din tine, în general, de un e-mail de genul asta. Dar ce sunt unele dintre indicatorul semne că acest lucru nu este, de fapt, un e-mail de la legitimă Universitatea Harvard? Ce-i asta? Deci gramatica rău, capitalizare ciudat, modul in care unele litere sunt capitalizate în anumite locuri. Există unele indentare ciudat într-un cuplu de locuri. Ce altceva? Ce-i asta? Ei bine, care, cu siguranță helps-- caseta galben mare care spune că aceasta ar putea fi spam-ul de la Google, care este cu siguranta de ajutor. Deci, există o mulțime de semnele aici. Dar realitatea este acestea email-uri trebuie să lucreze, nu? E destul de ieftine, dacă nu gratuit, pentru a trimite sute sau mii de e-mailuri. Și nu este vorba doar de trimiterea le din propria ta ISP. Unul dintre lucrurile pe care malware are tendința de a do-- astfel viruși și viermi care accidental infecta sau calculatoare pentru că au fost scrisă de unul dintre cele adversaries-- lucrurile pe care le face este doar churn spam. Deci, ce nu există în lume, în fapt, sunt lucruri numite botnet, care este un mod fantezist de a spune ca persoanele cu codificare mai bine competențe decât persoana care a scris că versiunea buggy de software, software au scris efectiv ca oameni ca noi bănuiască instala pe computerele noastre și apoi începe să fie difuzate în spatele scenei, fără știrea noastră. Iar cei malware programe mărturisi. Ele formează o rețea, un botnet dacă vreți. Cel mai mult și în general, sofisticat de adversari are un fel de control de la distanță asupra mii, dacă nu zeci de mii, de calculatoare de doar trimiterea un mesaj pe internet că toate aceste boti, ca să spunem așa, sunt capabili de a auzi sau temporar cerere de la unele site-ul central si apoi pot fi controlate pentru a trimite spam. Și aceste lucruri de spam pot fi doar vândut celui mai bun ofertant. Daca esti o companie sau un fel de societate Fringe că nu-i pasă de fapt despre un fel de etică de spam utilizatorilor dar vrei doar sa lovit un milion de oameni și sper că 1% din them-- care este încă un număr de trivial potențialului buyers-- puteti face plata de fapt, aceste adversari în genul de pe piața neagră de soiuri pentru a trimite aceste spam-urile prin botnet lor pentru tine. Deci, este suficient să spunem, acest lucru nu este un e-mail deosebit de convingatoare. Dar chiar și la Harvard Yale și alții adesea face greșeli, în care știm de la câteva săptămâni înapoi că puteți face o link spun www.paypal.com. Si se pare ca merge acolo. Dar, desigur,, nu, de fapt asta. Și așa Harvard și Yale, iar altele au cu siguranță a fost vinovat a lungul anilor în trimiterea de e-mailuri că sunt legitime, dar ele conțin hyperlinkuri în ele. Și noi, ca oameni, au fost instruit de un fel de funcționari, destul de des, pentru a de fapt doar să urmezi Link-uri pe care le primim în e-mail. Dar chiar că nu este cea mai bună practică. Deci, dacă te vreodată un e-mail cum ar fi asta: și poate că este de la Paypal sau Harvard sau Yale sau Bank of America sau like-- tot nu ar trebui să faceți clic pe link-ul, chiar dacă se pare legitim. Ar trebui să introduceți manual faptul că URL-te. Și sincer, asta e ceea ce administratorul de sistem ar trebui să fie ne spune să facem astfel încât nu ne păcăliți în a face acest lucru. Acum, cât de mulți dintre voi, probabil, uitandu-jos la locul tău, au parole scris undeva? Poate într-un sertar în camera ta de camin sau poate under-- într-un rucsac undeva? Portofel? Nu? Audiența: Într-un lockbox ignifug? DAVID MALAN: Într-un lockbox ignifug? BINE. Așa că e mai bine decât un notă de lipicios pe monitor. Deci cu siguranță, o parte din vi se insistă nr. Dar ceva îmi spune că e nu neapărat cazul. Deci, ce zici de o mai ușoară, mai multe sanse de question-- Câți dintre voi folosiți aceeași parolă pentru mai multe site-uri? Oh, bine. Acum suntem sinceri. In regula. Deci asta e veste minunată, nu? Pentru că dacă aceasta înseamnă în cazul în care doar unul dintre cei site-uri toate sunt utilizați este compromisă, acum un adversar are acces la mai multe date despre tine sau mai multe exploateaza potențiali. Deci asta e una usoara, pentru a evita. Dar câți dintre voi au o parola destul de guessable? Poate nu la fel de rău ca acest lucru, dar ceva? Pentru unele site-ul prost, nu? Nu e de mare risc, nu are un card de credit? Noi toti. Ca, chiar am parole care sunt, probabil, doar 12345, cu siguranță. Deci, acum încercați să vă conectați în fiecare site-ul vă puteți gândi cu malan@harvard.edu și 12345 și a vedea dacă, care funcționează. Dar noi facem acest lucru, de asemenea. Deci de ce? De ce atât de mulți dintre noi au nici destul de parole de ușor sau aceleași parole? Care e lumea reală Motivul pentru acest lucru? Este mai ușor, nu? Dacă am spus în schimb, academic, băieți ar trebui să fie într-adevăr alegerea parole pseudoaleatoare că sunt cel puțin 16 caractere și au o combinație de litere alfabetice, numere și simboluri, Cine naiba se întâmplă pentru a putea face acest lucru sau Amintiți-vă aceste parole, să nu mai vorbim pentru fiecare și fiecare site-ul posibil? Deci, ce este o soluție viabilă? Ei bine, unul dintre cele mai cel mai mare takeaways astăzi, de asemenea, pragmatic, ar fi, sincer, pentru a începe folosind un fel de manager de parole. Acum, există și upsides dezavantaje ale acestor lucruri. Acestea sunt două pe care le au tendința de a recomanda în CS50. Unul se numește buton 1Password. Unul se numește LastPass. Și unii dintre voi s-ar putea folosi deja aceste. Dar e, în general, un bucată de software care nu facilitează generarea de mare parole pseudoaleatoare pe care le Nu pot aminti, eventual ca un om. Se stochează cei pseudorandom parole în baza de date proprie, sperăm pe hard-ul local drive-- criptat, mai bine. Și tot ce, omul, trebuie să vă amintiți, de obicei, este parola una de master, care probabil va fi foarte lungă. Și poate că nu e caractere aleatoare. Poate e, cum ar fi, o propoziție sau o scurt paragraf care vă puteți aminti și aveți posibilitatea să tastați o dată pe zi pentru a debloca computerul. Astfel încât să utilizați o deosebit de mari parolă pentru a proteja și pentru a cripta toate celelalte parolele. Dar acum ești în obiceiul de a folosi software-ul ca aceasta să genereze pseudorandom parolele din toate site-urile vizitați. Și într-adevăr, nu pot spune confortabil acum, în 2015, Nu știu de cele mai multe anymore parolele mele. Știu parola de master, și tip I care, în necunoștință, unul sau mai multe ori pe zi. Dar partea buna este ca acum, dacă este cazul de unul conturile mele este compromisă, nu exista nici un fel cineva este va folosi contul pentru a obține într-un alt nici unul din cauza parolele mele sunt la fel mai. Și cu siguranță, nimeni, chiar dacă el sau ea scrie software contradictorie la Brute Force lucruri și ghici posibil passwords-- șansele ca acestea sunt de gând să alege mele parole lungi de 24 caractere este doar atât, atât de scăzut nu sunt doar mai îngrijorat cu privire la această amenințare. Deci, ce este compromisul aici? Pare minunat. Sunt mult mai mult în condiții de siguranță. Care este trade-off? Da? Audiența: Timpul. DAVID MALAN: Timpul. Este mult mai ușor să tip 12345 și eu sunt logat în față ceva care este de 24 caractere sau un scurt paragraf. Ce altceva? Audiența: Dacă cineva sparge parola de master. DAVID MALAN: Da. Deci un fel de schimbare scenariul amenințare. Dacă cineva ghiceste sau cifre out sau citește nota Post-it în seif de fișiere sigure, parola master aveți, Acum totul este compromisă care anterior a a fost poate doar un singur cont. Ce altceva? Audiența: Dacă doriți să utilizați orice conturilor dvs. pe un alt dispozitiv și nu aveți LastPass [neauzit]. DAVID MALAN: Da, asta e un fel de captură, de asemenea. Cu aceste instrumente, de asemenea, în cazul în care nu aveți calculatorul si tu esti in, cum ar fi, unii cafenea sau esti la casa unui prieten sau un laborator de informatică sau ori de câte ori doriți și pentru a vă conecta la Facebook, tu nici măcar nu știu ce parola Facebook este. Acum, uneori, puteți atenua acest lucru prin având o soluție că vom vorbi despre intr-o clipa numit autentificarea cu doi factori prin care Facebook va text sau va trimite un mesaj criptat special la telefon sau un alt dispozitiv pe care le transporta în jurul valorii pe breloc cu pe care le puteți conecta. Dar asta e, poate, enervant dacă ești în subsolul centrului științei sau în altă parte aici la campusul New Haven lui. Este posibil să nu aveți semnal. Și astfel că nu e neapărat o soluție. Deci, într-adevăr este un compromis. Dar ceea ce mi-ar vă încurajez să do-- dacă te duci la site-ul CS50 lui, am de fapt, amenajat pentru primul dintre aceste companii pentru o licență site-ul, ca să spunem așa, pentru toți elevii CS50 astfel încât să nu trebuie să plătească 30 dolari sau așa că în mod normal costă. Pentru Mac și Windows, puteți verifica afară 1Password gratuit pe site-ul CS50 lui, și vă vom cârlig cu asta. Realiza, de asemenea, că unele dintre acestea tools-- inclusiv LastPass într-una din forms-- sale este cloud-based, ca Colbert spune, ceea ce înseamnă parolele sunt encryptedly stocate în cloud. Ideea este ca poti sa te duci la o persoană aleatoare sau calculator prieten și conectați-vă la Facebook-ul contul sau altele asemenea pentru că meargă mai întâi la lastpass.com, accesați parola, și apoi tastați. Dar ceea ce este scenariul amenințare acolo? Dacă sunteți stocarea lucruri în nor, și tu ești accesarea că site-ul pe unele calculator necunoscut, ceea ce ar putea prietenul tău face pentru tine sau pentru intrarile de la tastatura dvs.? BINE. Voi fi promovarea manual alunecă aici înainte. Keylogger, nu? Un alt tip de malware este un keylogger, care este doar un program care de fapt busteni tot ce tastați. Deci nu, de asemenea, este probabil mai bine să au un dispozitiv secundar de genul asta. Deci, ce este autentificarea cu doi factori? După cum sugerează și numele, este ai nu una, ci doi factori cu care pentru autentificarea la un site web. Deci, mai degrabă decât utilizarea doar o parolă, aveți un alt al doilea factor. Acum, că este în general, o, factor este ceva ce știi. Deci, ceva gen de la ochii minții, care este parola pe care le-ați memorat. Dar doi, nu altceva pe care le știu sau au memorat dar ceva ai fizic. Ideea fiind aici amenințare dvs. nu mai ar putea fi o persoană aleatoare pe internet, care poate doar ghici sau dau seama parola. El sau ea trebuie să aibă fizică acces la ceva ce ai, care este încă posibil Și totuși, poate, cu atât mai amenințătoare fizic. Dar e cel putin diferite tipuri de amenințări. Nu e un milion de oameni fără nume acolo încercarea de a obține de la datele. Acum e un foarte specific persoană, poate, că în cazul în care este o problemă, care este O altă problemă cu totul, de asemenea. Astfel încât există, în general, pentru telefoane sau alte dispozitive. Și, de fapt, doar laminate Yale acest lucru la mijlocul semestru, cum ar că acest lucru nu afectează oameni în această cameră. Dar cei dintre voi urma de-a lungul în New Haven știu că, dacă ai log în ID-ul yale.net, în plus față de dactilografiere dumneavoastră numele de utilizator și parola, te apoi solicită cu acest lucru. Și, de exemplu, aceasta este o screenshot Am luat această dimineață atunci când am conectat la contul meu Yale. Și mi-a trimite echivalentul de un mesaj text pe telefonul meu. Dar, în realitate, am descarcat o aplicatie în prealabil că Yale distribuie acum, și am acum doar in fisierul cod care au trimis la telefonul meu. Dar pentru a fi clar, cu capul în acest sens este faptul că acum, chiar dacă cineva cifrele parola Yale, sunt în siguranță. Asta nu e de ajuns. Asta e doar o cheie, dar eu nevoie de doi pentru a debloca contul meu. Dar ceea ce este dezavantaj, probabil, de sistemul de Yale? Și vom lăsa Yale știu. Care este dezavantaj? Ce-i asta? Dacă nu aveți servicii de celule sau dacă nu au acces la internet Wi-Fi pentru că ești doar într-un subsol sau ceva, nu ar putea fi capabil de a obține mesajul. Din fericire, în acest caz particular, acest lucru va folosi Wi-Fi sau altceva, care funcționează în jurul ei. Dar un posibil scenariu. Ce altceva? Ai putea pierde telefonul. Tu pur și simplu nu-l au. Bateria moare. Adică, există un număr de scenarii de enervant dar scenarii posibile care ar putea întâmpla care te fac sa regret această decizie. Și cel mai rău posibil rezultat, sincer, atunci ar fi pentru ca utilizatorii să dezactiva această totul. Deci nu e întotdeauna o să fie această tensiune. Și va trebui să găsească pentru tine ca un fel de utilizare a unui loc dulce. Și pentru a face acest lucru, să ia un cuplu de sugestii concrete. Dacă utilizați Google Gmail sau Google Apps, știu că dacă te duci la această adresă URL aici, puteți activa cu doi factori autentificare. Google îl numește verificarea în 2 pași. Și faceți clic pe Setup, și atunci faci exact asta. Asta e un lucru bun de a face, în special aceste zile, deoarece, grație cookie-uri, sunteți conectat în aproape toată ziua. Deci, va trebui să rareori tastați parola, oricum. Deci s-ar putea face o dată pe săptămâni, o dată pe lună, o dată pe zi, și este mai puțin de un mare face decât în ​​trecut. Facebook, de asemenea, are acest lucru. Daca esti un pic prea slab cu tastarea parola Facebook în prieteni " calculatoare, cel puțin doi factori activați autentificare astfel că prieten, chiar dacă el sau ea are o apăsare de tastă logger, ei nu pot intra în contul tău. Ei bine, de ce este asta? Nu au putut log doar Codul am scris de pe telefonul meu că Facebook a trimis la mine? Audiența: [neauzit]. DAVID MALAN: Da. Software-ul bine conceput se va schimba aceste coduri care sunt trimise la telefon la fiecare câteva secunde sau de fiecare dată și astfel încât, da, chiar dacă el sau ea da seama ceea ce codul este, ești încă în condiții de siguranță, deoarece va fi expirat. Și aceasta este ceea ce pare ca pe site-ul Facebook. Dar există o altă abordare cu totul. Deci, dacă aceste tipuri de compromisuri nu sunt deosebit de atrăgător, un principiu general în securitate ar fie, bine, doar cel puțin lucruri de audit. Nu fel de a pune capul în nisip și doar nu știu dacă sau când ai fost compromis sau atacat. Cel puțin înființat un mecanism care vă informează instantaneu dacă ceva anormal sa întâmplat astfel încât să cel puțin îngust fereastra de timp în care cineva poate face pagube. Și prin aceasta, mă refer la following-- la Facebook, de exemplu, puteți activa ceea ce ei numesc alerte de conectare. Iar acum, am activat de e-mail Conectare alerte dar nu notificări. Și ce înseamnă că este că, în cazul anunțurilor Facebook Am conectat la un nou computer-- ca eu nu am un cookie, este o adresă IP diferită, e un alt tip de computer-- ei vor în acest scenariu, trimite, mi un e-mail spunând, hei, David. Se pare că v-ați conectat dintr-un calculator nefamiliare, doar FYI. Și acum contul meu ar putea fi compromis, sau prietenul meu enervant ar fi fost logare în Contul meu posta acum lucrurile pe feed-mi știri sau altele asemenea. Dar cel puțin cantitatea de timp cu care sunt în necunoștință de care este super, super îngust. Și pot să sperăm răspunde. Deci, toate trei dintre acestea, aș să zicem, sunt lucruri foarte bune pentru a face. Care sunt unele amenințări că sunt un pic mai greu pentru noi utilizatorii finali pentru a proteja impotriva? Stie cineva ce deturnarea sesiune este? Este o amenințare mai tehnic, dar foarte familiar acum, că am făcut PSET șase și șapte și opt acum. Deci amintesc că, atunci când trimiteți traficul pe internet, câteva lucruri se întâmplă. Lasă-mă să merg mai departe și conectați la C9 sau CS50.io. Dă-mi doar un moment la log în contul meu jHarvard. Audiența: Care este parola. DAVID MALAN: 12345. In regula. Și aici, știu că, dacă mă duc înainte și să solicite un web page-- și în același timp, lasă-mă să fac asta. Lasă-mă să deschid Inspector Chrome filă și traficul meu de rețea. Și lasă-mă să merg http://facebook.com și clar acest lucru. De fapt, știi ce? Să mergem la o mai familiar Unu https://finance.cs50.net și faceți clic pe Enter și log traficul în rețea aici. Deci observați aici, dacă mă uit în traficul meu de rețea, răspunsul headers-- să mergem aici. Răspuns headers-- aici. Deci prima cerere pe care am trimis, care a fost pentru pagina implicită, a răspuns cu aceste anteturi răspuns. Și am vorbit despre lucruri cum ar fi locația. Cum ar fi, locație înseamnă redirect la login.php. Dar un singur lucru nu am vorbit o mare sumă despre fost linii de genul asta. Deci, aceasta este în interiorul plic virtual care este trimis de la CS50 Finance-- versiunea voi a scris, too-- la laptop un utilizator sau computer desktop. Și acest lucru este stabilirea unui cookie. Dar ceea ce este un cookie? Gandeste-te la discuția noastră de PHP. Da? Da, este un mod de a spune site-ul pe care îl mai logat. Dar cum acest lucru? Ei bine, la vizita finance.cs50.net, se pare ca acel server că am implementat este setarea unui cookie. Și că este convențional cookie apel PHPSESSID ID de sesiune. Și vă puteți gândi la ea ca o handstamp virtuale la un club sau, cum ar fi, un parc de distracții, o bucățică de cerneala rosie, care merge pe mâna ta astfel încât data viitoare când vizitați poarta, vă arată pur și simplu mâna, și bouncer la ușă va lăsa trece sau nu la toate bazate pe faptul că ștampila. Deci ulterioară solicită ca browser-ul meu sends-- dacă mă duc la cererea următoare și te uiți la antetele cerere, veți observa mai multe lucruri. Dar cel mai important este acest porțiune evidențiată here-- nu sunt setate cookie, dar cookie. Și dacă răsfoi fiecare dintre aceste cereri HTTP ulterioare, de fiecare dată când ar vedea o mână fiind extins cu exact aceeași PHPSESSID, care este de a spune aceasta este mechanism-- acest pseudorandom mare number-- care o serverul folosește pentru a menține iluzia de PHP $ _SESSION obiect, în care puteți stoca lucruri, cum ar fi ID-ul utilizatorului sau ceea ce este în coșul de cumpărături sau orice număr de alte fragmente de date. Deci, ce e implicarea? Ei bine, ce dacă datele nu sunt criptate? Și, de fapt, ne-am pentru cel mai bun practică cripta destul de mult fiecare dintre site-urile CS50 aceste zile. Dar e foarte frecvente Acestea zile pentru site-uri web statice nu să aibă HTTPS la începutul URL-ul. Sunt doar HTTP, colon, slash slash. Deci, ce e implicarea acolo? Asta înseamnă pur și simplu că toate aceste antete sunt în interiorul acestui plic virtuale. Și oricine care adulmecă aerul sau fizic intercepteaza acel pachet fizic poate privi in ​​interiorul și a vedea despre ce este cookie. Și așa deturnarea sesiune este pur și simplu o tehnică că un adversar utilizează pentru a mirosi de date în aer sau pe unele rețea cu fir, privi in ​​interiorul acestei plic, și a se vedea, oh. Văd că cookie-ul este 2kleu orice. Lasă-mă să merg mai departe și să facă o copie a ștampilă mana și acum începe vizita Facebook sau Gmail sau orice altceva mă și doar prezent aceeași handstamp exact. Iar realitatea este, browsere și Serverele sunt într-adevăr că naiv. Dacă serverul vede că aceeași cookie, scopul său în viață ar trebui să fie de a spune, oh, care trebuie să fie David, care tocmai conectat un pic în urmă. Lasă-mă să arăt același utilizator, probabil, inbox lui David sau Facebook mesaje sau orice altceva în care logat ta. Și singura apărare împotriva care este de a cripta doar totul în interiorul plicului. Și din fericire, o mulțime de site-uri ca Facebook și Google și altele fac asta în zilele noastre. Dar orice care nu te las perfect, perfect vulnerabile. Iar unul dintre lucrurile pe care le puteți do-- și unul dintre caracteristicile frumos, sincer, de 1Password, software-ul Am menționat mai devreme, este dacă îl instalați pe dvs. Mac sau PC, software-ul, în afară de stocarea dvs. parole, va, de asemenea vă avertizeze dacă încercați vreodată conectarea la un site web care este de gând să trimită numele de utilizator și parola necriptate și în clar, ca să spunem așa. In regula. Deci, deturnarea sesiunii se reduce la asta. Dar e acest alt încât HTTP anteturile pot fi folosite pentru a profita de noi. Și aceasta este încă un fel de o problemă. Acesta este de fapt doar un adorabil scuză pentru a pune Cookie Monster aici. Dar Verizon si AT & T și alții au luat o mulțime de critici câteva luni în urmă de injectare, fără știrea utilizatorilor inițial, în afara plus HTTP. Astfel încât cei dintre voi care au avut Verizon Wireless sau celule AT & T telefoane, și ai vizitat site-uri web prin intermediul telefonului, fără știrea dumneavoastră, după HTTP dvs. solicită concediu de Chrome sau Safari sau orice pe telefon, du-te la Verizon sau AT & T router, ei îndrăzneală de ceva timp au fost injectarea un antet care arată ca asta: o pereche de chei-valoare în cazul în care cheia este doar X-UIDH pentru identificator unic antet și apoi o valoare mare aleatoare. Și ei fac acest lucru atât de că acestea pot unic identifice toate de trafic dvs. de web pentru a persoane care primesc cerere HTTP. Acum, de ce ar fi Verizon și AT & T și altele vreau să vă identifice în mod unic de a toate site-urile pe care o accesați? Audiența: Servicii mai bune pentru clienți. DAVID MALAN: Better-- nr. Este un gand bun, dar e nu pentru servicii mai bune clienților. Ce altceva? Publicitate, nu? Astfel încât să poată construi o retea de publicitate, probabil, care, chiar dacă au oprit cookie-uri, chiar dacă aveți de construcții software-ul de pe telefonul dvs. pe care le ține în incognito mode-- ha. Nu există nici un modul incognito atunci când om în middle-- literalmente, Verizon sau AT & T-- este injectarea date suplimentare pe care ai nici un control, dezvăluind astfel cine sunteți la acest site rezultat din nou și din nou. Deci, există modalități de a renunța la acest lucru. Dar aici, de asemenea, este ceva că sincer, singura cale de pentru a împinge înapoi pe acest lucru este de a părăsi transportatorul cu totul, dezactivați-l în cazul în care chiar vă permit să, sau, așa cum sa întâmplat în acest caz, face destul de un pic de tam-tam online, cum ar că societățile răspund de fapt. Acest lucru, de asemenea, este doar un alt posibilitatea de adorabil de a arăta acest lucru. Și haideți să aruncăm o privire la, să spune, una sau două amenințări finale. Așa că am vorbit despre CS50 Finante aici. Deci, veți observa că avem această drăguț puțin icoana de pe butonul de conectare aici. Ce înseamnă dacă am utilizați în loc această pictogramă? Deci, înainte de, după. Înainte după. Ce înseamnă după? Este sigur. Asta e ceea ce mi-ar plăcea să te gândești. Dar in mod ironic, este sigură pentru că avem HTTPS. Dar că este cât de ușor este de a schimba ceva pe un site, nu? Știți cu toții un pic de HTML si CSS acum. Și, de fapt, e destul de sa-- ușor și, dacă nu a făcut it-- pentru a schimba pictograma. Dar aceasta, de asemenea, este ceea ce companii ne-au învățat să facem. Deci, aici e un screenshot de la Banca site-ul Americii în această dimineață. Și observați, unul, sunt mi linistitor ca e e un semn sigur în din stanga sus. Și ei au, de asemenea o pictograma lacăt pe butonul, ceea ce înseamnă ceea ce pentru mine, utilizatorul final? Cu adevărat nimic, nu? Ce contează este faptul că există verde mare URL până sus cu HTTPS. Dar dacă ne mări în acest sens, este doar ca mine, stiind un pic de HTML și un pic de CSS, și spunând, Hei, site-ul meu e sigur. Cum ar fi, oricine poate pune un lacăt și cuvânt securizat sign-on pe site-ul lor. Și aceasta înseamnă cu adevărat nimic. Ce înseamnă ceva este ceva de genul asta, în cazul în care vedeți https: // faptul că Bank of America Corporation a acestui bar verde mare, în timp ce CS50 nu, înseamnă doar au plătit câteva sute dolari mai mult pentru a avea suplimentare verificarea făcut de domeniul lor în SUA, astfel încât browserele care aderă la acest standard ne va arăta, de asemenea, un pic mai mult decât atât. Așa că vom lăsa lucrurile la care, sperie vă un pic mai mult înainte de mult timp. Dar miercuri, vom fi insotiti de Scaz de la Yale pentru o privire la inteligenţă artificială si ceea ce putem face cu aceste mașini. Vă vom vedea data viitoare.